CMS Made Simple. Danconia Media
Ievainojamība, kas apzīmēta CVE-2018-1000094 ir atklāts versijas 2.2.5 versijā CMS Made Simple kurā teksta failu var izmantot php vai cita koda izpildei. Šī ievainojamība pastāv tāpēc, ka netiek pārbaudīti failu nosaukumi un paplašinājumi, tādējādi tiek izmantots tas, ka tad, kad administratora konts kopē failu uz serveri, izmantojot failu pārvaldnieku, faila nosaukums un paplašinājums netiek pārbaudīts, tāpēc ļaunprātīgs teksta fails var tiek atveidoti kā .php un automātiski palaiž ierīcē ļaunprātīgu kodu. Ievainojamība ir klasificēta 6.5 CVSS 3.0 un tam ir piešķirts izmantojamības apakšrādītājs 8/10. To var izmantot tīklā, salīdzinoši vienkārši izmantot un administratora tiesībām ir nepieciešama tikai viena autentifikācija.
Sekojošais kods autors Mustafa Hasans parāda pierādījumu šīs neaizsargātības koncepcijai.
Šķiet, ka šai ievainojamībai vēl nav labojumu. Analītiķi ir atzīmējuši, ka šo ievainojamību mazina jebkādas negatīvas sekas, nodrošinot, ka administrators ir uzticams, viņa / viņas akreditācijas dati netiek apdraudēti un tiek ieviestas serveru politikas, lai pārvaldītu lietotāju tiesības un atļaujas.
